このページでは、前回の情報セキュリティ対応方針の予算・人員確保に引き続き、必要なセキュリティ対策について解説いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
テンプレート
とらくん
よかったら使ってね!
まずは、現状の把握から始める!
まずは、社内のセキュリティ状態を把握するために自己診断をします。
IPAの資料をもとに自己診断シートを作成しましたので、まずは自社の現状をチェックしてみましょう。
自己診断チェック項目は、「実施済」「一部実施」「自信無し」「未実施」「不明」の5つに分かれていて、以下の判断基準で分類してください。
| チェック項目 | 状態 |
| 実施済み | 対策されている状態。 |
| 一部実施 | 対策はされているが、不十分な状態。 |
| 自信無し | 対策はされているが、これでいいのか自信が無い状態。 |
| 未実施 | 対策されていない状態。 |
| 不明 | 対策されているかどうかがわからない状態。 |
毘沙門天さん
会社ごとに状況は違うから、まずは自社の現状をしっかり認識しよう!現在の状態を前提に今後の対策を一緒に考えていこう!
自己診断の目的(1)対策が必要な部分の把握
自己診断の目的のひとつめは、どこを対策しなければいけないかを把握するためです。
会社によって、既に対策されていることは違います。このチェックシートで「実施済み」となっていない項目は、何かしらの対策が必要な部分です。
うまくん
対策はしてるみたいだけど、これで合ってるのかよくわからないんだよなぁ・・・
毘沙門天さん
その悩みはみんな持ってるよ。「自信無し」にチェックして、改めて対策内容を考えてみよう!
自己診断の目的(2)対策検討の優先順位把握
自己診断の目的のふたつめは、どこから検討を始めるべきかを把握するためです。
「未実施」もしくは「不明」は、なにも対策がされていないので、セキュリティリスクが高い状態です。まずは「未実施」「不明」となっている項目から考え始め、何も対策していない部分をなくしましょう。
へびくん
ほとんど「未実施」だったけど、どこから着手しよう???
毘沙門天さん
まずは簡単なルールブックを作って、従業員教育を始めるのがよいよ!まずは従業員にセキュリティを理解してもらって、みんなで協力しあって対策できる環境を作っていこう!
項目ごとの実施事項
自己診断の25項目ごとに「やらなければいけないこと」として、セキュリティ対策の実施項目を記載しています。
次のページで、それぞれの対策内容を解説していき、最終的に社内のルールブックとして、まとめていきたいと思います。
